Il Garante per la protezione dei dati personali ha ritenuto opportuno aprire d’ufficio un’istruttoria rispetto alle attività svolte da Kaspersky in Italia.
Dopo il vespaio di polemiche sollevatesi nei giorni scorsi, anche in forza dello stretto legame tra i prodotti dell’azienda e il loro ampio utilizzo presso enti governativi e in generale all’interno della Pubblica Amministrazione italiana, ci eravamo chiesti se è sicuro usare le soluzioni Kaspersky.
Nell’introduzione di quell’articolo avevamo scritto che risulta di fondamentale importanza capire dove e come si muovono i dati, per quali finalità possono essere utilizzati ed entro quale perimetro opera il soggetto che ne effettua il trattamento.
Avevamo quindi rivolto una serie di domande a Kaspersky che ha risposto puntualmente a ogni quesito. L’azienda ha sempre derubricato a mere illazioni un’eventuale connivenza con il Cremlino più volte ipotizzata negli anni: “non permetteremmo mai a terzi di accedere direttamente ai nostri dati o alle nostre infrastrutture, e le richieste di funzionalità non documentate saranno sempre rifiutate“, ha voluto evidenziare la società aggiungendo che Kaspersky è una realtà privata internazionale con la sua holding registrata nel Regno Unito.
L’intervista che abbiamo pubblicato nei giorni scorsi contiene tutti i dettagli sulla locazione dei server di Kaspersky e sulle modalità con cui l’azienda opera.
Nel frattempo il Garante Privacy ha chiesto a Kaspersky di fornire il numero e la tipologia dei suoi clienti italiani nonché di condividere informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti e servizi di sicurezza, inclusi quelli di telemetria o diagnostici.
La società dovrà inoltre chiarire se, nel corso del trattamento, i dati siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi.
L’ufficio del Garante ha infine richiesto a Kaspersky di indicare il numero di richieste di acquisizione o di comunicazione di dati personali riferibili a soggetti italiani che le sono state avanzate a partire dal 1° gennaio 2021 da autorità governative di Paesi terzi.
Il report elaborato da Kaspersky deve contenere le informazioni suddivise per Paese e per ogni sollecitazione relativa all’accesso dei dati degli utenti la società è tenuta a confermare se abbia fornito un riscontro positivo o negativo.
Il comunicato diffuso dall’Autorità italiana non chiarisce quale finestra temporale sia stata concessa a Kaspersky per condividere le informazioni richieste.
Il commento di Kaspersky sull’avvio dell’istruttoria del Garante Privacy
Abbiamo contattato Kaspersky per ottenere qualche osservazione sull’istruttoria appena aperta dal Garante Privacy. L’azienda ha dapprima così commentato: “abbiamo ricevuto la richiesta della DPA italiana (GPDP) e siamo pronti a comunicare con l’agenzia per qualsiasi domanda o preoccupazione che possono avere“.
Kaspersky ci ha poi inviato una breve nota su come vengono trattati i dati degli utenti. La pubblichiamo di seguito.
Quali sono i dati dei clienti trattati da Kaspersky?
Le informazioni fornite volontariamente dagli utenti a Kaspersky comprendono dati e statistiche relative alle minacce informatiche. Per garantire la massima sicurezza ai nostri utenti, i data service di Kaspersky sono stati certificati IS027001 da TÜV AUSTRIA, e ri-certificati nel 2022. Entrambi i certificati sono disponibili qui. Su richiesta Kaspersky fornisce il rapporto finale a clienti e partner.
Cosa comprendono i dati relativi alle minacce informatiche?
L’elaborazione dei dati relativi alle minacce comprende i file dannosi sospetti o precedentemente sconosciuti che i nostri utenti inviano volontariamente a Kaspersky Security Network (KSN) per l’analisi automatizzata del malware.
Nell’elaborazione dei file dannosi sospetti o precedentemente sconosciuti, i nostri utenti decidono se condividere questi dati con Kaspersky Security Network (KSN) per l’analisi automatizzata del malware.
Kaspersky fornisce sempre informazioni sul trattamento dei dati, in particolare l’elenco completo dei dati che saranno sottoposti a trattamento, per garantire che i clienti siano informati e possano prendere decisioni informate. Nel nostro report sulla trasparenza, condividiamo pubblicamente le informazioni sul numero di richieste di dati ricevute dai nostri utenti ed elaborate. L’ultimo rapporto relativo al secondo semestre 2021 è disponibile qui.
Dove vengono processati i dati degli utenti?
Nell’ambito della nostra Global Transparency Initiative (GTI), Kaspersky ha trasferito parte della sua infrastruttura di elaborazione dati: i file dannosi e sospetti condivisi volontariamente dagli utenti dei prodotti Kaspersky in Europa, Stati Uniti, Canada e diversi paesi dell’Asia-Pacifico vengono elaborati in due data center a Zurigo in Svizzera, che offrono strutture di livello mondiale in conformità con gli standard del settore per garantire i massimi livelli di sicurezza.
Inoltre, la Svizzera è tra i pochi Paesi che ha una decisione di adeguatezza con l’UE, il che significa che è stata riconosciuta dalla Commissione europea per fornire un’adeguata protezione dei dati personali. Oltre alle nostre strutture di elaborazione dei dati relativi alle minacce informatiche in Svizzera, le statistiche fornite dagli utenti a Kaspersky possono essere elaborate sui servizi di Kaspersky Security Network situati in vari paesi del mondo (Canada, Germania, Russia, ecc.).
Un elenco dettagliato dei Paesi in cui i dati personali forniti dagli utenti a Kaspersky possono essere elaborati è qui.
Come vengono trattati i dati dei clienti da Kaspersky?
Tutti i dati elaborati e/o trasferiti attraverso i nostri prodotti sono protetti mediante crittografia, certificati digitali, archiviazione segregata e rigorose politiche di accesso ai dati.
Nel trattamento di file malevoli sospetti o precedentemente sconosciuti, i nostri utenti decidono di condividere questi dati con Kaspersky Security Network (KSN) per l’analisi automatizzata del malware. Kaspersky fornisce sempre informazioni sul trattamento dei dati, in particolare l’elenco completo dei dati che saranno sottoposti a trattamento, per garantire che i clienti siano informati e possano prendere decisioni consapevoli.